計算機取證

因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網絡入侵、盜用知識產權和網絡欺騙等。

計算機取證（Computer Forensics、計算機取證技術、計算機鑑識、計算機法醫學）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，並據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言。計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。可理解為“從計算機上提取證據”即： 獲取、保存 分析 出示 提供的證據必須可信 ;

計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵，它的目的是要將犯罪者留在計算機中的“痕跡”作為有效的訴訟證據提供給法庭，以便將犯罪嫌疑人繩之以法。因此，計算機取證是計算機領域和法學領域的一門交叉科學，被用來解決大量的計算機犯罪和事故，包括網絡入侵、盜用知識產權和網絡欺騙等。

從技術角度看，計算機取證是分析硬盤，光盤，軟盤，Zip磁盤，U盤，內存緩衝和其他形式的儲存介質以發現犯罪證據的過程，即計算機取證包括了對以磁介質編碼信息方式存儲的計算機證據的保護、確認、提取和歸檔。取證的方法通常是使用軟件和工具，按照一些預先定義的程序，全面地檢查計算機系統，以提取和保護有關計算機犯罪的證據。

計算機取證主要是圍繞電子證據進行的。電子證據也稱為計算機證據，是指在計算機或計算機系統運行過程中產生的，以其記錄的內容來證明案件事實的電磁記錄。多媒體技術的發展，電子證據綜合了文本、圖形、圖像、動畫、音頻及視頻等多種類型的信息。與傳統證據一樣，電子證據必須是可信、準確、完整、符合法律法規的，是法庭所能夠接受的。同時，電子證據與傳統證據不同，具有高科技性、無形性和易破壞性等特點。高科技性是指電子證據的產生、儲存和傳輸，都必須藉助於計算機技術、存儲技術、網絡技術等，離開了相應技術設備，電子證據就無法保存和傳輸。無形性是指電子證據肉眼不能夠直接可見的，必須藉助適當的工具。易破壞性是指電子證據很容易被篡改、刪除而不留任何痕跡。計算機取證要解決的重要問題是電子物證如何收集、如何保護、如何分析和如何展示。

可以用做計算機取證的信息源很多，如系統日誌，防火牆與入侵檢測系統的工作記錄、反病毒軟件日誌、系統審計記錄、網絡監控流量、電子郵件、操作系統文件、數據庫文件和操作記錄、硬盤交換分區、軟件設置參數和文件、完成特定功能的腳本文件、Web瀏覽器數據緩衝、書籤、歷史記錄或會話日誌、實時聊天記錄等。為了防止被偵查到，具備高科技作案技能犯罪嫌疑人，往往在犯罪活動結束後將自己殘留在受害方系統中的“痕跡”擦除掉，如儘量刪除或修改日誌文件及其他有關記錄。但是，一般的刪除文件操作，即使在清空了回收站後，如果不是對硬盤進行低級格式化處理或將硬盤空間裝滿，仍有可能恢復已經刪除的文件。

計算機調查取證方式在調查取證中新興的技術模式，其在實踐環境下得到相關調查機構的不斷重視；計算機取證的方法就是計算機取證過程中涉及的具體措施、具體程序、具體方法。計算機取證的方法非常多，而且在計算取證過程中通常又涉及到證據的分析，取證與分析兩者很難完全孤立開來，所以對計算機取證的分類十分複雜，往往難以按一定的標準進行合理分類。通常情況下根據取得的證據的用途不同進行分類，通常可以分為兩類不同性質的取證。一類是來源取證，一類是事實取證。

所謂來源取證，指的是取證的目的主要是確定犯罪嫌疑人或者證據的來源。例如在網絡犯罪偵查中，為了確定犯罪嫌疑人，可能需要找到犯罪嫌疑人犯罪時使用的機器的IP地址，則尋找IP地址便是來源取證。這類取證中，主要有IP地址取證、MAC地址取證、電子郵件取證、軟件賬號取證等。

IP地址取證主要是利用在互聯網中，每一台聯網的計算機，在某一時刻都有唯一的全局IP地址。根據在案發現場找到的IP地址信息，進一步確定犯罪嫌疑人的機器，由犯罪人的機器再尋找案件相關人的方法。

MAC地址取證主要在一些局域網中或動態分配IP地址網絡中，由於IP地址使用有一定的自由，如果哪一個IP地址由誰租用並不清楚時，可以根據物理地址與邏輯地址的關係，找到物理地址，而物理地址也是唯一的，且一般情況下，也比較難以更改。所以MAC地址與特定計算機設備中網卡存在一定的對應關係，可以用來確定來源。

電子郵件取證，指的是根據電子郵件頭部信息找到發送電子郵件的機器，並根據已鎖定的機器找到特定人的取證方法。

軟件賬號取證，指特定軟件如果其某個賬號與特定人存在一一對應關係時，可以用來證明案件的來源。

事實取證指的取證目的不是為了查明犯罪嫌疑人。而是取得與證明案件相關事實的證據，例如犯罪嫌疑人的犯罪事實證據。在事實取證中常見的取證方法有文件內容調查、使用痕跡調查、軟件功能分析、軟件相似性分析、日誌文件分析、網絡狀態分析、網絡數據包分析等。

文件內容調查指的是在存儲設備中取得文檔文件、圖片文件、音頻視頻文件、動畫文件、網頁、電子郵件內容等相關文件的內容。包括這些文件被刪除以後、文件系統被格式化後或者數據恢復以後的文件內容。

使用痕跡調查包括windows運行的痕跡（包括運行欄歷史記錄、搜索欄歷史記錄、打開/保存文件記錄、臨時文件夾、最近訪問的文件等使用文件與程序調查）、上網記錄的調查（緩存、歷史記錄、自動完成記錄、瀏覽器地址欄下拉網址，Cookies，index．dat文件等等）、Office，realplay和mediaplay的播放列表及其它應用軟件使用歷史記錄。

軟件功能分析主要針對特定軟件和程序的性質和功能進行分析，常見是對惡意代碼的分析，確定其破壞性、傳染性等特徵。此類取證方法通常在破壞計算機信息系統、入侵計算機信息系統、傳播計算機病毒行為中經常使用。

軟件相似性分析是指比較兩軟件，找出兩者之間是否存在實質性相似的證據。此類取證方法主要在軟件知識產權相關案件中使用。

日誌文件分析，指通過系統日誌、數據庫日誌、網絡日誌、應用程序日誌等進行分析發現系統是否存在入侵行為或者其它訪問行為的證據。

網絡狀態分析指的是取得特定時刻計算機聯網狀態。例如網絡中哪些機器與本機相連，本機的網絡配置、開啓了哪些服務、哪些用户登錄到本機等信息。

網絡數據包分析指的是通過分析網絡中傳輸的數據包發現相關證據的過程。網絡數據包分析主要發生在實時取證中，是一種綜合的取證方法。有時候網絡數據包分析也稱呼為“網絡偵聽”。在對網絡犯罪實時偵查或“誘惑性”偵查時，往往採取網絡偵聽的方法發現犯罪嫌疑人的犯罪活動，掌握犯罪的線索，為抓獲犯罪嫌疑人提供支持。

在常用的證據調查方法體系中，計算機取證作為一項新興的調查取證方式，有着其極高的專業性和技術性，但一旦有所突破，亦能獲得較為明顯的證據線索，有效的促進案件的證據整理工作，作為專業的證據調查部，我們不斷的總結，掌握熟練的計算機取證技術，更好的為客户提供優質的證據服務；

^[1] 

計算機取證的主要原則有以下幾點：

首先，儘早蒐集證據，並保證其沒有受到任何破壞；

其次，必須保證“證據連續性”（有時也被稱為“chain of custody”），即在證據被正式提交給法庭時，必須能夠説明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化；

最後，整個檢查、取證過程必須是受到監督的，也就是説，由原告委派的專家所作的所有調查取證工作，都應該受到由其它方委派的專家的監督。

計算機取證的目標 ：

使調查的結果能夠經受法庭的檢查。

應該從一開始就把計算機作為物證對待，在不對原有物證進行任何改動或損壞的前提下獲取證據；

證明你所獲取的證據和原有的數據是相同的；

在不改動數據的前提下對其進行分析；

務必確認你已經完整的記錄下你採取的每一個步驟以及採取該步驟的原因。

根據電子證據的特點，在進行計算機取證時，首先要儘早蒐集證據，並保證其沒有受到任何破壞。在取證時必須保證證據連續性，即在證據被正式提交給法庭時，必須能夠説明在證據從最初的獲取狀態到在法庭上出現狀態之間的任何變化，當然最好是沒有任何變化。特別重要的是，計算機取證的全部過程必須是受到監督的，即由原告委派的專家進行的所有取證工作，都應該受到由其他方委派的專家的監督。計算機取證的通常步驟如下。

(1)保護目標計算機系統。計算機取證時首先必須凍結目標計算機系統，不給犯罪嫌疑人破壞證據的機會。避免出現任何更改系統設置、損壞硬件、破壞數據或病毒感染的情況。

(2)確定電子證據。在計算機存儲介質容量越來越大的情況下，必須根據系統的破壞程度，在海量數據中區分哪些是電子證據，哪些是無用數據。要尋找那些由犯罪嫌疑人留下的活動記錄作為電子證據，確定這些記錄的存放位置和存儲方式。

(3)收集電子證據。

記錄系統的硬件配置和硬件連接情況，以便將計算機系統轉移到安全的地方進行分析。

對目標系統磁盤中的所有數據進行鏡像備份。備份後可對計算機證據進行處理，如果將來出現對收集的電子證據發生疑問時，可通過鏡像備份的數據將目標系統恢復到原始狀態。 用取證工具收集的電子證據，對系統的日期和時間進行記錄歸檔，對可能作為證據的數據進行分析。對關鍵的證據數據用光盤備份，也可直接將電子證據打印成文件證據。 利用程序的自動搜索功能，將可疑為電子證據的文件或數據列表，確認後發送給取證服務器。 對網絡防火牆和入侵檢測系統的日誌數據，由於數據量特別大，可先進行光盤備份，保全原始數據，然後進行犯罪信息挖掘。 各類電子證據彙集時，將相關的文件證據存入取證服務器的特定目錄，將存放目錄、文件類型、證據來源等信息存入取證服務器的數據庫。 　(4)保護電子證據

對調查取證的數據鏡像備份介質加封條存放在安全的地方。對獲取的電子證據採用安全措施保護，無關人員不得操作存放電子證據的計算機。不輕易刪除或修改文件以免引起有價值的證據文件的永久丟失。

在保證以上幾項基本原則的情況下，計算機取證工作一般按照下面步驟進行：

第一， 在取證檢查中，保護目標計算機系統，避免發生任何的改變、傷害、數據破壞或病毒感染；

第二， 搜索目標系統中的所有文件。包括現存的正常文件，已經被刪除但仍存在於磁盤上（即還沒有被新文件覆蓋）的文件，隱藏文件，受到密碼保護的文件和加密文件；

第三， 全部（或儘可能）恢復發現的已刪除文件；

第四， 最大程度地顯示操作系統或應用程序使用的隱藏文件、臨時文件和交換文件的內容；

第五， 如果可能並且如果法律允許，訪問被保護或加密文件的內容；

第六，分析在磁盤的特殊區域中發現的所有相關數據。特殊區域至少包括下面兩類：①所謂的未分配磁盤空間——雖然沒有被使用，但可能包含有先前的數據殘留；② 文件中的“slack”空間——如果文件的長度不是簇長度的整數倍，那麼分配給文件的最後一簇中，會有未被當前文件使用的剩餘空間，其中可能包含了先前文件遺留下來的信息，可能是有用的證據；

第七，打印對目標計算機系統的全面分析結果，然後給出分析結論：系統的整體情況，發現的文件結構、數據、和作者的信息，對信息的任何隱藏、刪除、保護、加密企圖，以及在調查中發現的其它的相關信息；

第八，給出必需的專家證明。

上面提到的計算機取證原則及步驟都是基於一種靜態的視點，即事件發生後對目標系統的靜態分析。隨着計算機犯罪技術手段的提高，這種靜態的視點已經無法滿足要求，發展趨勢是將計算機取證結合到入侵檢測等網絡安全工具和網絡體系結構中，進行動態取證。整個取證過程將更加系統並具有智能性，也將更加靈活多樣。

取證工具

計算機取證常用工具有ENCASE X-WAYS FTK 效率源DATACOMPASS和HDDOK等工具

計算機取證的過程

取證準備(Preparation)

操作準備

設備準備

證據識別(Identification)

現場證據保護

設備保管

證據收集(Collection)

原始證據提取

原始證據保存

證據分析(Analysis)

取證分析

結論報告

證據提交(Presentation)

證據展示

證據返還

電子證據需要藉助計算機的輔助程序來查看，分析電子證據的信息需要很深的專業知識，應依靠專業的取證專家。通常進行的工作包括。

(1)藉助自動取證的文本搜索工具，進行一系列的關鍵字搜索查找最重要的信息。

(2)對文件屬性、文件的摘要和日誌進行分析，根據已經獲得的文件或數據的用詞、語法、寫作或軟件設計編制風格，推斷可能的作者。

(3)利用數據解密技術和密碼破譯技術，對電子介質中的被保護信息進行強行訪問，獲取信息。

(4)分析Windows系統的交換文件和硬盤中未分配的空間，這些地方往往存放着犯罪嫌疑人容易忽視的證據。

(5)對電子證據進行智能相關性分析，發掘同一事件不同證據間的聯繫。如分析分佈式拒絕服務攻擊證據時，可對某一時間段來自攻擊者的IP在不同系統中留下的痕跡，按一定順序羅列和評估其相關性。

一般講，與案件事實存在着直接的、內在聯繫的證據，其證明效力較強;反之，則較弱。由於計算機證據容易被偽造、篡改，而且被偽造、篡改後不留痕跡，再加上計算機證據由於人為的原因或環境和技術條件的影響容易出錯，故習慣將計算機證據歸入間接證據。從偵查取證來看，計算機取證也是處在輔助取證的地位，主要的作用是獲取與案件相關的線索，起輔助證明作用。

在所涉及的計算機證據調查案件中，往往可以通過針對電子證據的調查整理獲取更多的證據線索，所以，在使用或操作計算機調查時你需要我們這種專業的服務機構，歡迎諮詢我們................

^[2]